O plano estratégico da ANPD para 2021-2023
Autores
31 de maio de 2021, 15h06
Com a intenção de institucionalizar a proteção de dados no Brasil e se tornar referência nacional e internacional sobre o tema, a Autoridade Nacional de Proteção de Dados (ANPD) publicou, no início do ano, seu planejamento estratégico para 2021-2023. O plano envolve três objetivos, que são: promover o fortalecimento da cultura de proteção de dados pessoais; dotar o ambiente normativo de proteção de dados pessoais da maior eficácia possível; e aprimorar as condições para o cumprimento das competências legais.
Muito embora os três objetivos traçados pela ANPD possuam suas importâncias, já que o primeiro envolve a adoção de estratégias voltadas à prevenção e à detecção de infrações à Lei Geral de Proteção de Dados Pessoais (LGPD) e o terceiro envolve o aprimoramento e a ampliação de pessoal na ANPD para que haja um corpo técnico capacitado e suficiente para atender às demandas, o segundo objetivo é o que se relaciona com as empresas controladoras de dados pessoais.
Isso porque, com um horizonte temporal de seis meses, a ANPD pretende criar mecanismos céleres para o combate aos incidentes e às reclamações a respeito do tratamento de dados pessoais (além do estabelecimento de agenda regulatória de proteção de dados). Segundo a Autoridade, haverá a implementação de um fluxo para combate a incidentes e reclamações recebidos, com fixação de requisitos, prazos, critérios e procedimentos relativos à comunicação de tais incidentes de segurança e ao recebimento de reclamações dos titulares. Com isso, empresas que se depararem com incidentes ou demandas de titulares de dados pessoais deverão se atentar aos passos estabelecidos pela ANPD como diretrizes.
A adequação à LGPD não é tarefa fácil, pois envolve o mapeamento do tratamento de dados, a elaboração de políticas e o estabelecimento de estratégias para correção de processos e mitigação de riscos. Para as empresas que atuam como controladoras de dados pessoais (que coletam os dados de seus clientes ou de seus funcionários e tomam decisões em relação a eles), por determinação legal, é preciso nomear o chamado "Data Protection Officer" (DPO ou encarregado, pela lei brasileira).
O DPO é quem será o responsável pela fiscalização do cumprimento dos requisitos estabelecidos pela ANPD para comunicação de incidentes ou atendimento de solicitações de titulares. Para tanto, deverá possuir pleno conhecimento das atividades que envolvem o tratamento de dados.
Além disso, para facilitar a identificação de eventuais gargalos no tratamento de dados de cada empresa, o DPO deve elaborar o relatório de impacto, em especial quando há tratamento de dados pessoais sensíveis. Esse é um dos pontos de maior relevância quando se analisa o grau de conformidade (compliance) de uma empresa em relação à Lei Geral de Proteção de Dados Pessoais.
Por esses "detalhes", é importante que empresas que ainda não iniciaram seus processos internos de implementação da LGPD o façam o quanto antes. A partir de agosto de 2021 as sanções previstas na LGPD serão aplicadas sobre as empresas que não estiverem em conformidade. Isso sem falar em direitos individuais, cujas violações podem, desde o início da vigência da lei, dar suporte a pedidos de indenização formulados individualmente. Empresas em dia com as obrigações previstas na LGPD terão muito mais facilidade de se adequar aos requisitos impostos pela ANPD. Consequentemente, estarão menos expostas a multas em razão do descumprimento da lei.
Encontrou um erro? Avise nossa equipe!